附件*
****县****项目
采购需求
采购单位:****县人民医院
项目名称:****县人民医院网络信息安全*级等保评测项目
****年*月**日
采购人注意事项
*、根据****县财政局《关于开展****意向公开工作的通知》(*财采发〔****〕***号规定,采购意向由预算单位定期或不定期公开,公开时间应当尽量提前,原则上不得晚于采购活动开始前**日。
采购意向公开的范围为:除通过****县****电子商城、协议供货、定点采购方式实施的小额*星采购外,按项目实施的集中采购目录以内或者采购限额标准以上的货物、工程、服务采购均应当公开采购意向。
采购意向公开的内容:采购项目名称、采购需求概况、预算金额、预计采购时间、采购组织形式及方式、执行的****政策等。其中,采购需求概况应当包括采购标的名称,采购标的需实现的主要功能或者目标,采购标的数量,以及采购标的需满足的质量、服务、安全、时限等要求。采购意向应当尽可能清晰完整,便于供应商提前做好参与采购活动的准备。采购意向仅作为供应商了解各单位初步采购安排的参考,采购项目实际采购需求、预算金额和执行时间以采购人最终发布的采购公告和采购文件为准。
*、采购人在编制采购文件时需注意的事项:
名称 |
禁止事项 |
具体内容 |
资格条件设置 |
非法限定供应商的所有制形式、组织形式、股权结构或者所在地 |
*.限定供应商所有制形式,如:国有、独资、合资等;*.限定企业法人,将事业法人、其他组织和自然人排除;*.限定注册地(总部)在某行政区域内,或要求在某行政区域内有分公司等。 |
|
将供应商规模条件设置为资格条件 |
设置注册资本、资产总额、营业收入、从业人员、利润、纳税额等规模条件。 |
|
设定与采购项目的具体特点和实际需要不相适应或者与合同履行无关的资格条件 |
*.限定特定行政区域或者特定行业的业绩、奖项;*.设定特定金额的业绩或对代理商提出业绩要求;*.设置的资格条件与项目履行无关或过高、明显不合理,如非涉密或不存在敏感信息的采购项目,要求供应商有从事涉密业务的资格。 |
|
以其他不合理条件限制或者排斥潜在供应商 |
*.非法限定营业执照经营范围内的具体名称或设置经营年限、成立年限等限制条款;*.将除进口货物以外生产厂家授权、承诺、证明、背书等作为资格要求;*.将国务院已明令取消的或国家行政机关非强制的资质、资格、认证、目录等作为资格条件;*.限定或者指定特定的专利、商标、品牌或者供应商。 |
采购需求设置 |
未落实****政策 |
*.未明确强制或优先采购节能产品;*.未明确优先采购环境标志产品;*.未明确促进中小企业发展政策(监狱企业、残疾人福利性单位视同小微企业);*.采购进口产品的,未经财政部门审核(高校、科研院所采购进口科研仪器设备进行备案的除外);或已按规定经财政部门审核(备案)同意购买进口产品的,限制国内产品参与竞争。 |
|
以不合理的条件对供应商实行差别待遇或者歧视待遇 |
*.设定的技术、商务条件与采购项目的具体特点和实际需要不相适应或者与合同履行无关;*.采购需求中的技术、服务等要求指向特定供应商、特定产品;*.将特定行政区域或者特定行业的业绩、奖项,特定金额的业绩或代理商的业绩作为实质性要求;*.限定或者指定特定的专利、商标、品牌或者供应商;*.将供应商的所有制形式,组织形式或者所在地作为实质性要求。 |
|
以其他不合理条件限制或者排斥潜在供应商 |
*.设定最低限价;*.要求提供赠品、回扣或者与采购无关的其他商品、服务的;*.将国务院已明令取消的或国家行政机关非强制的资质、资格、认证、目录等作为实质性要求。 |
评审因素 |
将资格条件作为评审因素 |
*.将供应商资格条件的内容作为评审因素;*.将《****法实施条例》第**条规定的条件作为评审因素。 |
|
将规模条件作为评审因素 |
将注册资本、资产总额、营业收入、从业人员、利润、纳税额等规模条件作为评审因素。 |
|
采用综合评分法的,评审标准中的分值设置与评审因素的量化指标不相对应 |
*.使用“优”“良”“中”“*般”等容易引起歧义的表述时,未明确判断标准;*.评审因素的指标量化为区间的,评审标准的分值未量化到区间;*.采用横向比较各投标文件的方式打分。 |
|
以不合理的条件对供应商实行差别待遇或者歧视待遇 |
*.以特定行政区域或者特定行业的业绩、奖项作为加分条件;*.将特定金额的合同作为评审因素;*.对供应商采取不同的评审标准。 |
*、采购需求公示:按照已完成的采购需求,在****省****网上公示*个工作日
注:以上内容依据《****省****负面清单》,采购人在采购过程中请严格按照该清单的要求执行。
第*章采购公告设置
项目类型 |
货物服务工程 |
项目名称 |
****县人民医院网络信息安全*级等保评测项目 |
采购预算金额 |
*** |
本项目的特定资格要求 |
无 |
本项目是否接受联合体投标 |
是否 |
联合体资格条件 |
联合体投标的,应满足下列要求:(*)联合体成员数量上限不超过*家;中标后,未经采购人书面同意,联合体的组成结构或职责及出资比例均不得变动。(*)联合体各方须签订联合体协议书后才能参与投标,且协议中必须明确联合体牵头人,已组成联合体的各方不得再另行组建联合体或单独参与投标。(*)此项目允许通信运营商参与联合体投标。如通信运营商参与联合体投标的,同*家通信运营商只允许组成*个联合体投标。(*)单位负责人为同*人或者存在控股、管理关系的不同单位,可以组建联合体投标,但不得分别组建联合体或单独参加同*标段投标。 |
本项目是否采购进口产品 |
是否 |
****节能、环保产品 |
是否 |
促进中小企业发展政策 |
本项目非专门面向中小微企业。小微企业报价扣除比例**%;联合体报价扣除比例*%。 |
备选方案 |
允许不允许 |
实物样品 |
提供不提供 |
现场考察 |
组织不组织 |
现场讲解或演示 |
组织不组织 |
中标后分包 |
允许不允许 |
项目联系人 |
**** |
电子邮箱 |
*********@**.*** |
联系电话 |
****-******* |
单位地址 |
****县城关镇东门街***号****县人民医院 |
填写说明:
*.本项目的特定资格要求:若本项目涉及国家法律法规对市场准入有要求的则必须填写。如采购电梯,生产商必须取得《中华人民共和国特种设备制造许可证》。
*.联合体投标:联合体投标是指*个或*个以上法人或者其他组织可以组成*个联合体,以*个供应商的身份共同投标。同*专业的单位组成的联合体,应当按照资质等级较低的单位确定联合体的资质等级。如在*个供应商组成的联合体中,有*个是甲级资质等级,有*个是乙级,则这个联合体只能定为乙级。
*.采购进口产品:若本项目采购进口产品,需提供进口产品所属行业的设区的市、自治州以上主管部门出具的《****进口产品所属行业主管部门意见》、专家组出具的《****进口产品专家论证意见》。
相关政策要求详见《财政部关于印发&**;****进口产品管理办法&**;的通知》(财库〔****〕***号)。
*.****节能环保产品:(*)集中采购目录内的“台式计算机、便携式计算机、激光打印机、针式打印机、液晶显示器、空调机”为政府强制采购节能产品,采购人在采购此类项目时,必须注明“强制节能”。(*)集中采购目录内的“服务器、台式计算机、便携式计算机、喷墨打印机、激光打印机、针式打印机、液晶显示器、扫描仪、复印机、投影仪、多功能*体机、乘用车(轿车)、客车、空调机、家具用具”为《环境标志产品****品目清单》项目,采购人可根据不同环保产品的科技含量、市场竞争程度、市场成熟度等因素,设定合理的价格扣除比例、加分幅度和环保因素分值。(*)装修、修缮工程涉及节能环保产品的,参照前*条执行。
相关政策要求详见《财政部发展改革委生态环境部市场监管总局关于调整优化节能产品、环境标志产品****执行机制的通知》(财库〔****〕*号)、《节能产品****品目清单》、《环境标志产品****品目清单》。
*.支持中小企业政策:(*)对于经主管预算单位统筹后未预留份额专门面向中小企业采购的采购项目,以及预留份额项目中的非预留部分采购包,采购人、采购代理机构应当对符合本办法规定的小微企业报价给予*%—**%(工程项目为*%—*%)的扣除,用扣除后的价格参加评审。(*)接受大中型企业与小微企业组成联合体或者允许大中型企业向*家或者多家小微企业分包的采购项目,对于联合协议或者分包意向协议约定小微企业的合同份额占到合同总金额**%以上的,采购人、采购代理机构应当对联合体或者大中型企业的报价给予*%-*%(工程项目为*%—*%)的扣除,用扣除后的价格参加评审。
相关政策要求详见《****促进中小企业发展管理办法》(财库〔****〕**号)
第*章项目需求
*.采购需求*览表
序号 |
采购内容 |
简要技术指标 |
数量 |
要求/备注 |
* |
***医院信息管理系统 |
等级保护测评 |
* |
*级 |
* |
***实验室信息管理系统 |
等级保护测评 |
* |
*级 |
* |
****影像归档系统 |
等级保护测评 |
* |
*级 |
* |
***电子病历系统 |
等级保护测评 |
* |
*级 |
工期要求 |
合同签订之日起*个月 |
质保要求 |
*年 |
*、项目概述
为贯彻落实国家****等级保护制度,进*步履行和落实网络信息安全责任义务,强化健全关键信息基础设施的****综合防护体系和安全保障能力,保障各项关键信息系统的安全稳定运行。****县人民医院的信息系统开展国家等级保护*级系统测评建设。
*、国家相关行政主管部门颁布的强制标准、规范
国家相关政策文件:
*.《中华人民共和国****法》
*.《中华人民共和国计算机信息系统安全保护条例》(国务院令***号)
*.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[****]**号)
*.《关于信息安全等级保护工作的实施意见》(公通字[****]**号)
*.《信息安全等级保护管理办法》(公通字[****]**号)
*.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[****]***号)
*.《信息安全等级保护备案实施细则》(公信安[****]****号)
*.《公安机关信息安全等级保护检查工作规范》(公信安[****]***号)
*.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[****]****号)
**、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[****]****号)
相关标准及规范
*.《计算机信息系统安全等级保护划分准则》(*******-****)
*.《信息安全技术信息系统物理安全技术要求》(**/******-****)
*.《信息安全技术信息系统安全管理要求》(**/******-****)
*.《信息安全技术网络基础安全技术要求》(**/******-****)
*.《信息安全技术信息系统安全通用技术要求》(**/******-****)
*.《信息安全技术信息系统安全等级保护体系框架》(**/****-****)
*.《信息安全技术信息系统安全等级保护基本模型》(**/****-****)
*.《信息安全技术信息安全风险评估规范》(**/******-****)
*.《信息安全技术信息安全风险评估实施指南》(**/******-****)
*、技术、服务要求
说明:标注“★”的为必须满足的实质性条款,如有不满足的按照无效投标处理,请采购人审慎设置。标注“▲”号的条款,为采购文件“评分标准”中的评分内容。
序号 |
技术条款 |
功能及技术参数 |
评审点 |
* |
测评要求 |
供应商须具有公安部第*研究所颁发的《****等级测评与检测评估机构服务认证证书》资质(提供认证证书原件的复印件). |
★ |
|
|
根据等级保护相关文件要求,梳理信息系统,协助采购人编制定级报告、备案表等材料。 |
★ |
|
|
协助采购人到公安监管等部门办理备案手续,获取监管部门出具的《等级保护备案证明》。 |
★ |
|
|
安全技术差距分析:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心*个方面的差距分析。 |
★ |
|
|
安全实施差距分析:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理*个方面的差距分析。 |
|
|
|
根据等级保护标准,结合测评情况梳理安全需求,编制****等级保护整改方案,协助用户制定安全整改计划。 |
★ |
|
|
提供技术咨询服务,协助完成被测信息系统的安全整改,协助完善信息系统安全防护措施,完善安全管理相关制度。 |
★ |
|
|
对被测系统进行梳理,编制测评实施方案。 |
|
|
|
对被测系统进行测评,验证安全整改效果。 |
|
|
|
安全控制点测评、安全控制点间测评、区域间/层面间测评。 |
|
|
|
根据现场测评的记录情况编制测评报告。 |
|
|
|
组织内部测评报告评审,评审完成并经采购人确认后出具正式盖章版的测评报告。 |
|
* |
保密原则 |
对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为。 |
|
* |
标准性原则 |
测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。 |
|
* |
规范性原则 |
供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。 |
|
* |
可控性原则 |
项目安排工作进度要跟上进度表的安排,保证工作的可控性。 |
|
* |
最小影响原则 |
测评工作应尽可能不影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。 |
|
* |
项目人员配备 |
供应商应详细描述测评人员的组成、资格及各职责的划分。参与测评人员不少于*人,其中项目经理需具备高级信息系统项目管理师、中级信息安全工程师、****证书、中级(含)以上测评师资质、****证书,项目技术团队成员须持有中级(含)以上高级信息系统管理师、信息安全工程师、信息程序员证书、网络规划设计师证书和****安全证书。 |
▲ |
* |
检测工具配备 |
*.供应商具备正版的***应用扫描工具或模块,制造厂商为中国信息安全测评中心的国家信息安全漏洞库技术支撑单位;*.供应商具备正版漏洞检测工具且授权为无限的**地址或域名,其中制造厂商为中国信息安全测评中心的国家信息安全漏洞库技术支撑单位。 |
▲ |
* |
企业能力 |
供应商拥有信息技术服务标准符合性证书。 |
▲ |
** |
测评方案 |
供应商需要出具测评方案,满足*级等保测评的需求。 |
▲ |
** |
质量管理控制 |
供应商提出质量管理控制措施方案。 |
▲ |
** |
测试方案 |
供应商需要出具渗透测试方案,满足*级等保测评的需求。 |
▲ |
*、商务要求
说明:标注“★”的为必须满足的实质性条款,如有不满足的按照无效投标处理,请采购人审慎设置。标注“▲”号的条款,为采购文件“评分标准”中的评分内容。(联合体参与投标,任意*方具备即可)
序号 |
商务条款 |
内容 |
评审点 |
* |
企业综合服务能力 |
供应商:*.具有中国合格评定国家认可委员会颁发的检验机构认可证书;*.具有中国****审查技术与认证中心(****)颁发的信息安全风险评估服务资质证书、信息系统信息安全应急处理服务证书、信息系统安全运维服务资质证书;*.具有********隐私信息管理体系认证证书;*.具有********信息安全管理体系认证证书。 |
▲ |
* |
类似业绩 |
近*年完成过类似项目业绩。 |
▲ |
* |
工期具体要求 |
合同签订日起*个月完成。 |
|
* |
质保期 |
质保*年内免费提供等保测评咨询服务;过质保期后信息系统中的每个测评系统,供应商应提供等保测评咨询服务,不另行增加费用。 |
▲ |
* |
付款方式 |
合同签订之日起*个工作日内付合同总金额的**%;验收合格后付合同总金额的**%;验收合格*年后付合同金额的**% |
|
* |
质量控制及保证措施 |
供应商需要提出质量控制及保证措施方案并承诺因供应商测评报告质量原因无法完成备案,测评机构无条件整改。 |
▲ |
* |
应急预案 |
制定应急预案,应对信息系统的正常运行不产生明显影响。 |
▲ |
* |
应急响应 |
重要信息系统如若发生安全事件到场响应服务不超过*小时。 |
▲ |
第*章评分标准(仅公开、邀请、磋商项目提供)
*.商务评议(**分)
序号 |
评审因素 |
分值 |
评分标准 |
因素来源 |
* |
企业综合服务能力 |
* |
供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书,提供证书复印件并加盖公章,得*分,未提供不得分。 |
商务要求* |
* |
|
* |
应供应商具有中国****审查技术与认证中心(****)颁发的信息安全风险评估服务资质证书、信息系统信息安全应急处理服务证书、信息系统安全运维服务资质证书,每提供*个得*分,满分*分(需提供证书复印件并加盖公章)。 |
商务要求* |
* |
|
* |
*、供应商具有********隐私信息管理体系认证证书,提供证书复印件并加盖公章得*分,未提供不得分。*、供应商具有********信息安全管理体系认证证书,提供证书复印件并加盖公章得*分,未提供不得分。满分*分。 |
商务要求* |
* |
类似业绩 |
* |
响应供应商近*年以来(以合同签订时间为准)完成类似项目业绩,每提供*个得*分,满分*分。(提供服务合同或中标通知书复印件并加盖公章,未提供者不得分) |
商务要求* |
* |
质量控制及保证措施 |
* |
针对采购需求的*个系统,提出质量控制措施及保证方案*、包含项目质量控制及保证措施的得*分;*、包含质量控制管理机制的得*分;*、包含测评实施质量甲方评价打分机制的得*分;满分*分。 |
商务要求* |
|
|
|
针对采购需求的*个系统,承诺因供应商测评报告质量原因无法完成备案,测评机构无条件整改,直到完成备案,提供加盖供应商单位公章的书面承诺的得*分。 |
|
* |
应急预案 |
* |
根据测评范围界定的系统(采购需求中*个系统)情况制定应急预案,应急预案中包含应急响应措施的得*分;应急预案中包含应急响应人员配备的得*分。满分*分。 |
商务要求* |
* |
服务保障售后承诺 |
* |
服务期保障承诺。承诺针对信息系统中的每个测评系统,在该系统通过等保测评验收后*年内,供应商应提供等保测评咨询服务,不另行增加费用。提供书面承诺并加盖供应商单位公章,得*分,否则不得分。 |
商务要求* |
* |
应急响应 |
* |
提供应急响应服务承诺及证明材料,重要信息系统如若发生安全事件到场响应服务时间为≤*小时得*分;响应服务时间>*小时,≤*小时得*分;响应服务时间超过*小时不得分。满分*分。(需提供相关证明资料) |
商务要求* |
*.技术服务评议(**分)
序号 |
评审因素 |
分值 |
评分标准 |
因素来源 |
* |
项目人员配备 |
** |
拟投入本项目团队成员参与测评人员不少于*人得*分,在*人的基础上每加*人得*.*分,满分*分。(提供项目团队人员近*个月本单位为其购买的社保证明复印件并加盖公章)*、项目经理配备拟供应商项目经理应具备相应的综合能力,每具备*项得*分,满分**分:(*)高级信息系统项目管理师(软考高级)(*)中级信息安全工程师(软考)(*)****证书(国际注册信息系统审计师)(*)中级(含)以上测评师资质(*)****(中国信息安全测评中心颁发注册信息安全专业人员证书)(提供证书复印件和人员近*个月本单位为其购买的社保证明复印件并加盖公章)*、项目团队人员配备:应具备相应的综合能力,每具备*项得*分,满分**分:(*)高级信息系统项目管理师(软考高级);(*)中级以上测评师资质;(*)程序员证书(软考);(*)网络规划设计师证书(软考高级);(*)****(中国信息安全测评中心颁发注册信息安全专业人员证书)。(提供证书复印件和人员近*个月本单位为其购买的社保证明复印件并加盖公章) |
技术要求* |
* |
企业能力 |
* |
供应商拥有信息技术服务标准符合性证书****运行维护的得*分,否则不得分(须提供在有效期内的证书复印件并加盖供应商公章)。 |
技术要求* |
* |
检测工具配备 |
* |
供应商具备正版的***应用扫描工具或模块,其中制造厂商为中国信息安全测评中心的国家信息安全漏洞库*级技术支撑单位的得*分;其中制造厂商为中国信息安全测评中心的国家信息安全漏洞库*级及以下技术支撑单位,得*分;其余不得分。(需提供采购合同复印件及国家信息安全漏洞库官网截图并加盖公章,未提供不得分);供应商具备正版漏洞检测工具且授权为无限的**地址或域名,其中制造厂商为中国信息安全测评中心的国家信息安全漏洞库*级技术支撑单位的得*分;其中制造厂商为中国信息安全测评中心的国家信息安全漏洞库*级及以下技术支撑单位,得*分;其余不得分。(需提供采购合同复印件及国家信息安全漏洞库官网截图并加盖公章,未提供不得分)。满分*分。 |
技术要求* |
* |
等级保护测评方案 |
* |
供应商出具等保测评方案,内容包含但不限于:*.有测评实施过程中难点分析及解决方案*.有详细的等保测评方法*.有具体的等保测评实施进度及人员安排*.对等保测评实施中的安全性和风险规避有具体的方法内容充分响应的得*分;每缺*项扣*分,不满足要求或未响应不得分。 |
技术要求** |
* |
质量管理控制方案 |
* |
质量管理控制措施方案包含但不限于:*.有质量保障承诺书*.实施质量自查评估措施文档。全方位描述,内容充分响应的得*分,每缺*项扣*分,不满足要求或未响应不得分。 |
技术要求** |
* |
渗透测试方案 |
* |
渗透测试方案包含但不限于:*.渗透测试具体测试内容描述完整(渗透测试包括主机操作系统渗透测试、数据库系统渗透测试、应用系统渗透测试、网络设备渗透测试,每提供*个得 *.*分,满分*分。);*.渗透测试设备及人员安排配备详细得*分。 |
技术要求** |
*.价格评议(**分)
序号 |
评审因素 |
分值 |
评分标准 |
* |
价格评议 |
** |
满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为**分。其他供应商的价格分按照下列公式计算:投标报价计分=(评标基准价/投标报价)×**%×*** |
注:根据《****货物和服务招标投标管理办法》的规定,货物项目的价格分值占总分值的比重不得低于**%;服务项目的价格分值占总分值的比重不得低于**%。执行国家统*定价标准和采用固定价格采购的项目,其价格不列为评审因素。